Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Falsificación de solicitudes del lado del servidor en Angular SSR

In Noticias y Avisos CiberseguridadPosted

Falsificación de solicitudes del lado del servidor en Angular SSR

Aviso
Recursos Afectados

Angular SSR:

  • Versiones comprometidas entre 21.2.0-next.0 y 21.2.0-rc.0, sin incluir esta última;
  • Versiones comprometidas entre21.0.0-next.0 y 21.1.5, sin incluir esta última;
  • Versiones comprometidas entre20.0.0-next.0 y 20.3.17, sin incluir esta última;
  • Todas las versiones anteriores a 19.2.21, sin incluir;
  • Todas las versiones anteriores a 16.2.0, incluida.
Descripción

Yenya030, alan-agius4, securityMB, AndrewKushnir, josephperrott y dgp1130 han reportado 1 vulnerabilidad crítica que, en caso de ser explotada podría permitir el robo de encabezados confidenciales o cookies de sesión, acceso y transmisión de datos y comprometer la confidencialidad del sistema.

Identificador
INCIBE-2026-150

Solución

Se recomienda actualizar a una de las versiones 21.2.0-rc.1, 21.1.5, 20.3.17 y 19.2.21. La versión 16.2.0 y anteriores no tienen actualización alguna.

Detalle

CVE-2026-27739: Server-Side Request Forgery (SSRF) en ciertas versiones de Angular SSR. La vulnerabilidad existe porque la lógica interna de reconstrucción de URLs de Angular confía y consume directamente los encabezados HTTP controlados por el usuario, para determinar el origen base de la aplicación sin validar el dominio de destino. La explotación exitosa podría permitir a un atacante robar los encabezados confidenciales o cookies de sesión para redirigirlos al servidor del propio atacante, poder acceder y transmitir datos desde servicios internos, bases de datos o endpoints de metadatos en la nube y comprometer confidencialidad del sistema afectado.

5 – Crítica
Listado de referencias
Angular SSR is vulnerable to SSRF and Header Injection via request handling pipeline

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-27739 Crítica No Angular

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.